工控系统安全—PLC攻击路径研究

随着技术的不断进步，PLC在向着智能化的方向发展，接口数量和类型越来越多，功能也日益丰富。目前的PLC一般都是基于裁剪后的嵌入式系统，同时将原来位于串行链路上的通信协议转移到TCP/IP之上，为黑客实施攻击提供了便捷的途径。

1、通过嵌入式系统漏洞实施攻击

PLC采用的大多是经过裁剪的实时操作系统（RTOS），比如LinuxRT、QNX、Lynx、VxWorks等。这些操作系统广泛的应用于通信、军事、航空、航天等高精尖技术及实时性要求较高的领域中。但是其安全问题不容忽视。常见的PLC使用的操作系统如表1所示。

表1常用PLC的操作系统

Beresford等[1]指出，SimaticPLC运行在x86Linux系统之上，那就意味着如果插入一段载荷，就可以对shell进行爆破并连接到该设备。尤其需要注意的是PLC上运行的所有程序都是以root权限运行的，一旦被攻击者攻入，后果非常严重。如图1所示：

图1对shell系统的爆破

西门子、施耐德的多款PLC设备软件搭载在VxWorks系统上运行，wdbrpc是VxWorks的远程调试端口，以UDP方式进行通信，端口号为17185。该协议基于sun-rpc，提供的服务主要用于支持系统远程通过集成开发环境Tornado交互（如图2）。根据灯塔实验室公布的资料[2]，黑客可以通过wdbrpc协议dump全部内存空间数据，找到内存中的所有ftp、telnet登录密码，进一步可以实现的攻击有：篡改bootline绕过登录验证、Dump内存数据从中抓取登录密码等。通过攻击嵌入式实时操作系统进而控制PLC的正常运行。

图2Tornado开发环境与VxWorks系统图

2、通过PLC通信协议漏洞实施攻击

一般常见工控协议中包含了大量的命令字，如读取、写入数据等，然而其中一部分高级或协议约定的自定义功能往往会给用户安全带来更多的威胁，如Modbus协议的从机诊断命令将会造成从机设备切换到侦听模式、CIP协议某些命令字还能导致设备直接重启、S7协议的STOPCPU功能将会导致PLC程序运行停止，在大多数的情况下用户在上位机进行组态时仅会使用协议的某些读取数据功能和固定范围、固定地址的写数据功能，而协议栈上更多的功能则不会应用于系统集成中。

Langner等[3]指出不需要控制系统内部知识，不需要编程技巧就可以实现一次攻击。利用S7协议漏洞，注入代码到组态OB1（相当于main函数）之前，这样PLC在每次扫描之前都会首先执行恶意代码，并可以通过调用BEC（blockendcondition）指令，随时终止合法代码的运行。就Stuxnet而言，终止条件是基于时间和工业过程。

Meixell等[4]指出，简单的串口协议（比如Modbus和DNP3）已经被包含在IP数据报内，攻击者仅仅构造一个基于IP的控制数据包并发送给PLC就可以造成严重的后果。以Modbus协议为例，其常用主要功能码如下表2所示：利用功能码0x05就可以将所有的寄存器置1，打开所有的阀门。

表2Modbus数据包结构及主要功能码

Tzokatziou等[5]指出，由于PLC通信协议是明文传输，而且对于通信对象没有认证过程。因此攻击者可以利用CoDeSys系统，直接和PLC进行连接，捕获两者之间的通信的数据包，然后直接给PLC发送篡改后的控制指令，达到任意启停PLC的操作。

3、通过PLC软件漏洞实施攻击

PLC的软件系统包括系统监控软件和用户组态软件，前者用于监视控制器本身的运行，后者用于编写用户程序。以西门子（Siemens）PLC为例，STEP7编程软件用于PLC的编程、参数设置和在线调试，而WinCC则主要用于过程监视。

典型的攻击案例是2010年的“震网”病毒攻击伊朗核电站事件[6]。“震网”病毒除了利用windows操作系统的4个0-day漏洞，还利用了西门子WinCC中的两个漏洞（1）WinCC系统中存在一个硬编码漏洞，保存了对访问数据的默认账户名和密码，Stuxnet利用这一漏洞尝试访问该系统的SQL数据库；（2）在WinCC需要使用的Step7工程中，打开工程文件时，存在DLL加载策略上的缺陷，从而导致一种类似于“DLL预加载攻击”的利用方式。然后Stuxnet通过使用自身的s7otbxsx.dll替换Step7软件中的s7otbxsx.dll，实现对一些查询、读取函数的额Hook。